Yahoo, bilgisayar korsanlarının e-postaları dinlemesine izin veren güvenlik açığını yamalıyor

How to effectively deal with bots on your site? The best protection against click fraud.

Yahoo, yazılımındaki bir kusuru düzeltti Posta hizmeti Bu, aynı hatanın açıklanmasından ve yamalanmasından yaklaşık bir yıl sonra bilgisayar korsanlarının kullanıcı e-postalarını dinlemesine izin verebilirdi. Finlandiya'dan Jouko Pynnonen, Yahoo'nun geçen ay düzelttiği yeni güvenlik açığını açıkladığı için Yahoo'dan 10.000 dolar aldı.

Kusur, bir saldırgana bir kullanıcının e-postasını okuma veya Yahoo Mail hesaplarına bulaşmak için bir virüs oluşturma izni veren bir siteler arası komut dosyası saldırısıyla ilgiliydi. Pynnonen, bir kullanıcının hatanın çalışması için bir saldırgandan gelen e-postayı görüntülemesi gerektiğini açıkladı.

Hata, Pynnonen'in geçen yıl keşfettiği ve bilgisayar korsanlarına bir Yahoo Mail hesabının tam kontrolünü verebilecek eski bir Yahoo Mail kusuruna benziyordu.

Yahoo filtrelerindeki eksiklikler

Pynnonen, en son güvenlik açığının suçlusu olarak Yahoo'nun HTML mesajları filtresindeki bir eksikliği gösterdi. Filtre, kullanıcının tarayıcısından gelen kötü amaçlı kodu engellemek için çalışır. Araştırmacıya göre, filtre tüm kötü niyetli veri özniteliklerini yakalayamadı. Bir bilgisayar korsanı, yalnızca kurbana özel bir e-posta göndererek kötü amaçlı JavaScript çalıştırabilir.

instagram story viewer

Araştırmacı, çeşitli ek seçeneklerinin dikkatini temel HTML filtrelemedeki olası hataya çektiği e-posta oluşturma görünümündeki kusuru keşfetti. Pynnonen daha sonra çeşitli ekleri olan bir e-posta oluşturdu ve mesajı harici bir posta kutusuna gönderdi. muayene ettikten sonra çiğ E-postada yer alan HTML, bazı kötü niyetli özellikler dikkatini çekti.

“Gözümü yakalayan, data-* HTML özellikleriydi. İlk olarak, Yahoo'nun filtresinin izin verdiği HTML özelliklerini sıralamak için geçen yılki çabamın hepsini yakalamadığını fark ettim."

Pynnonen, Yahoo'nun HTML filtresinden geçecek birkaç HTML özelliği yerleştirmenin mümkün olduğunu düşündü. Kötüye kullanım amaçlı data-* özelliklerine sahip bir e-posta yazdıktan sonra sonunda patolojik bir vaka buldu.

Yahoo, karanlık ağda en az 200 milyon Mail hesabının satıldığını gösteren raporların ardından bu yılın başlarında ateş altındaydı.

Ayrıca okuyun:

  • Yahoo hesabıyla Windows 10 Mail'de nasıl oturum açılır
  • Windows 10 için Yahoo Mail uygulaması artık kişileri Microsoft People ile senkronize ediyor
Teachs.ru
Windows 10 için Yahoo Mail Uygulamasını Ücretsiz İndirin [GÜNCELLEME]

Windows 10 için Yahoo Mail Uygulamasını Ücretsiz İndirin [GÜNCELLEME]Yahoo E

Yahoo! Posta uygulaması artık bir süredir Microsoft Store'da indirilemiyor.Ancak mevcut alternatiflerden birini kullanarak aynı üretkenlik sonuçlarını elde edebilirsiniz.Bu arada Yahoo! Posta bir w...

Devamını oku
Yahoo Mail için en iyi 5+ antivirüs [Güvenlik Rehberi]

Yahoo Mail için en iyi 5+ antivirüs [Güvenlik Rehberi]Yahoo EAntivirüs

Yahoo Mail için bir virüsten koruma yazılımı arıyorsanız, seçimimiz istenmeyen posta önleme ve kimlik avı önleme özelliklerini kapsayacaktır.En iyi seçeneğimiz, aşağıdaki özelliklere sahip bir araç...

Devamını oku
Windows 10 için Yahoo Mail uygulaması 22 Mayıs'ta çalışmayı durduracak

Windows 10 için Yahoo Mail uygulaması 22 Mayıs'ta çalışmayı durduracakYahoo E

Windows 10 için Yahoo Mail uygulamasının artık çalışmayacağı haberi tüm hayranlarını heyecanlandırdı.Yahoo Mail uygulamasının artık indirilemeyeceğini bilmek güzel.Yahoo Mail kullanıcıları, Windows...

Devamını oku
ig stories viewer